限制对设备的访问包括获取用户的密码短语,获取所述用户的访问凭证,获取所述用户的PIN值,使用随所述设备提供的秘密密钥至少单向加密所述访问凭证和所述PIN。如果单向加密的结果等于所述密码短语则允许访问所述设备。如果单向加密的结果不等于所述密码短语则拒绝对所述设备的访问。所述设备可以是存储设备。所述访问凭证可包括识别用户及该用户的角色的用户名。所述访问凭证可包括允许访问的时间段。随后响应于当前日期和时间大于允许访问的时间段可取消访问。
【技术实现步骤摘要】
【国外来华专利技术】
本申请涉及计算机存储设备领域,尤其涉及有选择地访问计算机 存储设备的领域。2.
技术介绍
主处理机系统可使用存储设备保存和检索数据,存储设备包含多 个主机接口装置(主机适配器)、磁盘驱动器、及磁盘接口装置(磁盘适配器)。例如,这样的存储设备可由马萨诸塞州Hopkinton的伊 姆西公司提供,且其在授权给Yanai等的美国专利5, 206, 939、授权 给Galtzur等的美国专利5, 778, 394、授权给Vishlitzky等的美国 专利5, 845, 147、及授权给0fek等的美国专利5, 857, 208中公开。 主机系统通过多个随其提供的通道访问存储设备。主机系统通过存储 设备通道提供数据和访问控制信息,存储设备也通过通道提供数据给 主机系统。主机系统不直接寻址存储设备的磁盘驱动器,而是访问对 主机系统表现为多个逻辑巻的装置。逻辑巻可以也可不对应于实际的 磁盘驱动器。在一些情形下,必须访问计算机存储设备以对计算机存储设备进 行维护和/或重配置。然而,由于能够执行维护和/或重配置所需要的 访问类型与使恶意用户能损害计算机存储设备和/或删除或破坏其上 保存的数据的访问类型一样,能够限制具有执行计算机存储设备维护 和/或重配置所需要的访问类型的特定用户是有用的。实现此的一种 方式是通过密码保护计算机存储设备并仅向被允许对计算机存储设 备进行维护和/或重配置的那些用户提供密码。然而,在某些时候, 可能需要取消先前有权访问的部分用户的访问权。例如,为维护存储 设备的公司工作的用户可能离开该公司。此外,授权用户可能不注意地(或其它方式)将密码泄漏给恶意用户,该恶意用户继而使用所述 密码访问存储设备并损害所述存储设备和/或摧毁或破坏数据。解决该困难的一种方式是将每一存储设备(例如经通信线缆、因 特网等)连接到中央安全设备,该中央安全设备管理所有存储设备的 安全/访问并重配置和取消使能访问存储设备的用户密码。在需要取 消用户访问权的情形下或在授权用户已泄漏密码的情形下,连接到存 储设备的中央安全设备可改变/取消生效密码然后将变化通知给授权 用户。然而,这样的中央安全设备由于一些原因不实用,其中之一是 由于很难将所有存储设备连接到中央安全设备。希望解决在用于访问安全设备的密码需要被改变/取消时出现的 安全问题,而不必提供到存储设备的远程连接。
技术实现思路
根据本专利技术,限制对设备的访问包括获取用户的密码短语,获取 所述用户的访问凭证,获取所述用户的PIN值,使用随所述设备提供 的秘密密钥至少单向加密所述访问凭证和所述PIN,如果单向加密的 结果等于所述密码短语则允许访问所述设备,及如果单向加密的结果 不等于所述密码短语则拒绝对所述设备的访问。所述设备可以是存储 设备。所述访问凭证可包括识别用户及该用户的角色的用户名。所述 访问凭证可包括允许访问的时间段。限制对设备的访问还可包括,在 允许访问之后,随后响应于当前日期和时间大于允许访问的时间段而 取消访问。限制对设备的访问还可包括获取当前日期和时间的时间/ 日期数据指示并使用所述秘密密钥单向加密所述时间/日期数据及所述访问凭证和所述PIN。限制对设备的访问还可包括,在允许访问之后,随后响应于当前日期和时间大于允许访问的时间段而取消访问。获取密码短语可包括用户呈现至少下述之一智能卡、记忆棒、软盘和CD,或可包括用户键入所述密码短语。限制对设备的访问还可包 括获取所要访问的设备的设备ID指示并使用所述秘密密钥单向加密所述设备ID及所述访问凭证和所述PIN。所述秘密密钥可提供在防 篡改硬件中的器件处。进一步根据本专利技术,对用户构造有权访问设备的密码短语包括获取识别用户的用户名,获取所述用户的PIN,获取对所述设备的预期访问时间,获取识别所述设备的标识符,及使用秘密密钥单向加密所述用户名、PIN、预期访问时间和标识符以提供所述密码短语。所述设备可以是存储设备。对用户构造有权访问设备的密码短语可包括将 所述密码短语保存在计算机可读介质中。计算机可读介质可以是下述之一智能卡、记忆棒、软盘和CD。具有计算机可执行指令的计算机可读介质可用于执行在此所述的步骤。进一步根据本专利技术,计算机存储设备包括多个磁盘驱动器、连接 到所述磁盘驱动器的多个磁盘适配器、连接到所述多个磁盘适配器的 存储器、连接到所述磁盘适配器和所述存储器的多个主机适配器,所 述主机适配器与主计算机通信以在磁盘驱动器和连接到存储器的服 务处理机导控器之间发送和接收数据及通过下述行为限制对存储设备的访问获取用户的密码短语,获取所述用户的访问凭证,获取所 述用户的PIN值,使用随所述存储设备提供的秘密密钥至少单向加密所述访问凭证和所述PIN,如果单向加密的结果等于所述密码短语则允许访问所述设备,及如果单向加密的结果不等于所述密码短语则拒 绝对所述设备的访问。所述访问凭证可包括识别用户及该用户的角色 的用户名和/或可包括允许访问的时间段。进一步根据本专利技术,计算机可读介质具有执行在此所述的任何步 骤的计算机可执行指令。进一步根据本专利技术,系统具有执行在此所述的任何步骤的至少一 处理器。附图说明图1为连同在此描述的系统一起使用的、连接到具有服务处理机 的数据存储设备的多个主机的示意图。图2为根据在此描述的系统的存储设备、内存、多个导控器及通 信模块的示意图。图3为根据在此描述的系统的提供为服务处理机导控器的一部 分的安全模块的图示。图4为根据在此描述的系统,在确定是否准许用户访问存储设备时由安全模块执行的处理的流程图。图5为根据在此描述的系统的安全模块的组件的图示。图6为根据在此描述的系统,在确定用户是否已提供适当的有权访问存储设备的密码短语时执行的步骤的流程图。图7为根据在此描述的系统,对用户产生有权访问存储设备的密码短语所执行的步骤的流程图。具体实施例方式参考图1,示图20示出了连接到数据存储设备24的多个主机 22a-22c。数据存储设备24包括内部内存26,如本文别处所述,其 有助于存储设备24的运行。数据存储设备还包括多个主机适配器 (HA) 28a-28c,其处理主机22a_22c和存储设备24之间的读和写数 据。尽管示图20示出主机22a-22c中的每一个分别连接到HA 28a-28c 之一,本领域技术人员应当意识到,HA 28a-28c中的一个或多个可 连接到其它主机。存储设备24可包括一个或多个RDF适配器单元(RA) 32a-32c。 RA 32a-32c连接到RDF链路34并与HA 28a-28c类似,但用于在存 储设备24及同样连接到RDF链路34的其它存储设备(未示出)之间 传送数据。除RDF链路34之外,存储设备24还可连接到另外的RDF 链路(未示出)。存储设备24还可包括一个或多个磁盘36a-36c,每一磁盘包含 保存在存储设备24上的不同数据部分。磁盘36a-36c中的每一个可 连接到多个磁盘适配器单元(DA) 38a-38c中的相应磁盘适配器单元, 其向相应磁盘36a-36c提供数据并从相应磁盘36a-36c接收数据。应注意,在一些实施例中, 一个以上磁盘将由一个DA服务是可能的,及一个以上DA服务一个磁盘也是可能的。存储设备24中对应于磁盘36a-36c的逻辑存储空间可被细分本文档来自技高网...
【技术保护点】
限制访问设备的方法,包括: 获取用户的密码短语; 获取所述用户的访问凭证; 获取所述用户的PIN值; 使用随所述设备提供的秘密密钥至少单向加密所述访问凭证和所述PIN; 如果单向加密的结果等于所述密码短语则允许 访问所述设备;及 如果单向加密的结果不等于所述密码短语则拒绝对所述设备的访问。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:Y阿茨蒙尼,DJ艾伦,D弗兰根,H布里阿特兹,R阿尔兰,
申请(专利权)人:伊姆西公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。